趋势科技公司 有关驱动程序中的漏洞(未分配 CVE)的信息 ,它允许非特权本地用户在 Linux 内核的上下文中执行他们的代码。 有关该漏洞的信息是在 Android 平台上下文中提供的,但没有详细说明该问题是否特定于 Android 内核,或者是否也出现在常规 Linux 内核中。
要利用此漏洞,攻击者需要对系统进行本地访问。 在Android中,要进行攻击,首先需要获得对具有访问V4L(Video for Linux)子系统权限的非特权应用程序的控制权,例如摄像头程序。 Android 中漏洞最实际的用途是在攻击者准备的恶意应用程序中包含漏洞,以提升设备上的权限。
目前该漏洞仍未修补。 尽管谷歌在三月份就收到了有关该问题的通知,但修复程序并未包含在其中 安卓平台。 49 月份的 Android 安全补丁修复了 31 个漏洞,其中 XNUMX 个被评为严重漏洞。 多媒体框架中的两个关键漏洞已得到解决,并允许在处理专门设计的多媒体数据时执行代码。 高通芯片组件中已修复XNUMX个漏洞,其中两个漏洞已被指定为严重级别,允许远程攻击。 其余问题被标记为危险,即允许通过操纵本地应用程序在特权进程的上下文中执行代码。
来源: opennet.ru